Киберготовность США 2.0: Реагирование на инциденты

Киберготовность США 2.0: Реагирование на инциденты.

В 1998 году, США впервые признали необходимость разработки национальной системы реагирования на кибер-инциденты, вследствие чего был создан Национальный центр защиты инфраструктуры (National Infrastructure Protection Center,  NIPC) в рамках реализации директивы Президента №63. Центр создавался в рамках Федерального бюро расследований (ФБР) и обладал ресурсами для стимулирования и координации действий федерального правительства в случае инцидентов, для снижения вероятности кибер-атак, определения угроз, а также мониторинга действий по упрочению безопасности.

Оглавление (показать/скрыть)

Введение
Национальная стратегия
Реагирование на инциденты
Киберпреступность и охрана правопорядка
Обмен информацией
Инвестиции в исследования и разработки (R&D)
Дипломатия и торговля
Оборона и кризисное реагирование
Заключение: Индекс Киберготовности CRI 2.0

Обязанности NIPC в дальнейшем были переданы Министерству внутренней безопасности и в настоящее время входят в сферу деятельности Национального центра кибер-безопасности и интегрированных коммуникаций (National Cybersecurity and Communications Integration Center, NCCIC). Этот центр служит центром координации действий в случае кибер-инцидентов на федеральном уровне, уровне штатов, на местном, территориальном, международном уровнях и в частном секторе. Он несет ответственность за информирование и координацию реагирования на кибер-инциденты, снижение рисков и восстановительные мероприятия в основном в отношении федеральных сетей, при сотрудничестве с частным сектором, гражданским обществом, правоохранительными органами, разведкой, гражданской обороной, а также международными организациями.

В начале 2000 года Конгресс также санкционировал создание первой правительственной Команды быстрого реагирования (CERT) – Федеральный компьютерный центр реагирования на чрезвычайные ситуации (Federal Computer Incident Response Center, FedCIRC) – в составе Управление служб общего назначения (General Services Administration, GSA) – чьей задачей было служить центральным связующим звеном для координации действий и обмена информацией между различными организациями.

После создания Министерства внутренней безопасности в 2003 г., функции FedCIRC были переданы ему, а сам Центр был переименован в Компьютерную группу по реагированию на чрезвычайные ситуации США (US-CERT), причем полномочия Центра были продлены в рамках новой Группы. В настоящее время NCCIC является полномочным органом, ответственным за обмен кибер-информацией и управление кибер-рисками в национальном масштабе. US-CERT, являющийся в настоящее время структурным подразделением NCCIC, поддерживает партнерские отношения с частным сектором, операторами и владельцами критически важных элементов инфраструктуры, научными кругами, федеральными агентствами, центрами обмена и анализа информации (ISACs), партнерами на уровне штатов и более мелких уровнях самоуправления, а также другими национальными и международными организациями для сбора, сортировки информации, а также реагирования на кибер-инциденты; предоставления технической помощи операторам информационных систем; а также своевременного распространения актуальной информации о текущих и потенциальных угрозах безопасности и замеченных уязвимостях. Кроме прочего, US-CERT управляет Национальной системой защиты кибер-безопасности (National Cybersecurity Protection System, NCPS), которая обеспечивает обнаружение взломов и средства их предотвращения для федеральных органов власти.

В 2010 году был разработан «Национальный план реагирования на кибер-инциденты» (National Cyber Incident Response Plan, NCIRP), причем его проект был составлен с учетом того, что «Рамочная концепция национального реагирования» (National Response Framework, NRF) 2008 г. (с дополнениями от 2013 г.), составленная Министерством внутренней безопасности, не включала реагирование на кибер-инциденты. Рамочная концепция признавалась документом, описывающим четкий процесс реагирования на природные катастрофы, в том числе предусматривавшим учения с участием высшего руководства страны. Таким образом, NCIRP создавался с целью четкого описания ролей, ответственностей и потенциальных действий различных организаций в ходе подготовки, реагирования и координация действий в случае кибер-инцидентов национального масштаба. Предполагалось также, что документ объединит различные подходы и доктрины в единый стройный, стратегический и кибер-ориентированный план действий, разработанный так, чтобы оказывать прямое содействие в ходе планирования, реализации действий, а также повышения обороноспособности, равно как и в случае восстановления после инцидентов. Однако NCIRP разрабатывался практически без привлечения частного сектора и по прошествии шести лет все еще остается проектом документа. «Акт о кибер-безопасности 2015 г.» (Cybersecurity Act, CSA) обязал Министерство внутренней безопасности увязать положения NRF с требованиями NCIRP, а также рассмотреть возможность создания плана реагирования с учетом существующих рисков на случай чрезвычайных ситуаций, затрагивающих критически важные элементы инфраструктуры.

Политическая директива Президента №41 от июля 2016 г., «Координация действий в случае кибер-инцидентов в США» (United States Cyber Incident Coordination), установила принципы действий органов федерального правительства в случае любой критической ситуации, затрагивающей государственные органы или частные организации. Директива также определяет, какое федеральное агентство должно взять ответственность за реагирование на определенные угрозы и координацию преодоления последствий инцидентов по трем фронтам. Во-первых, Совместная национальная оперативная группа кибер-расследований под эгидой ФБР (National Cyber Investigative Joint Task Force, NCIJTF) возьмет на себя руководство немедленным реагированием в случаях угроз, когда неизвестно, откуда идет атака. Во-вторых, NCCIC будет координировать действия по помощи пострадавшим организациям и поиску сетевого агрессора. В-третьих, Национальный центр интеграции разведки по кибер-угрозам (Cyber Threat Intelligence Integration Center, CTIIC) станет ведущим федеральным агентством в области поддержки разведки  и других связанный с ней видов деятельности, а также будет координировать процесс определения стратегий по предотвращению и преодолению угроз. Несмотря на то, что определение органа, ответственного за содействие пострадавшим от кибер-инцидентов – очень важный шаг, надо отметить, что существующие возможности явно недостаточны для реагирования на растущее количество чрезвычайных ситуаций и запросов о помощи.

Помимо борьбы с реальными угрозами, США также регулярно проводит внутренние и международные кибер-учения с целью проверки операционных возможностей реагирования на критические ситуации, одновременно стимулируя сотрудничество между странами. Проводимые раз в два года учения Кибер-шторм (финансируемые Министерством внутренней безопасности), например, имеют своей целью повысить готовность к инцидентам правительственных органов и частных предприятий

В учениях Кибер-шторм 2016 г. принимали участие 16 штатов, 11 стран и 14 федеральных агентств. Более того, Министерство энергетики США также проводит учения на местном уровне, уровне штатов и в национальном масштабе, в том числе Североамериканские учения по надежности поставок электричества в корпоративных электросетях (North American Electric Reliability Corporation’s Grid Exercise, GridEx). Ноябрьские учения GridEx стали крупнейшими подобными в истории, в них приняли участие более чем 350 правительственных органов и предприятий частного сектора, более 4500 непосредственных участников, каждый из которых сыграл свою роль в тестировании и реформировании плана национального реагирования. Семинары и учения в области кибер-безопасности проводились также Казначейством США в сотрудничестве с Координационным советом сектора финансовых услуг (Financial Services Sector Coordinating Council) с целью симулирования ключевых вызовов и определения оптимальных способов реагирования. После терактов 11 сентября 2001 г. такие учения проводятся регулярно с участием различных финансовых институтов из различных штатов и стран. США также участвуют в региональных учениях по преодолению кибер-кризисов, реализуемых Европейским оборонным агентством (European Defense Agency, EDA) и НАТО с целью повысить возможности стран-членов этих организаций, противостоять кибер-инцидентам и понимать суть их взаимозависимости.

Наконец, Управление Директора Национальной разведки США (Office of the Director of National Intelligence, ODNI) направляет Конгрессу ежегодник «Всемирная оценка рисков» (Worldwide Threat Assessment), в котором, в последние четыре года кибер-риски указываются как наиболее актуальные в национальном масштабе. Национальный совет по разведке (National Intelligence Council, NIC) периодически публикует «Отчет о глобальных тенденциях» (Global Trends Report) – обычно сразу после очередных выборов Президента – который включает описание основных кибер-угроз. Другие федеральные органы власти США, такие как Министерство обороны, Министерство внутренней безопасности, US-CERT, и Национальная система кибер-информирования (National Cyber Awareness System, NCAS), публикуют более специализированные секторальные документы с оценками кибер-рисков.

Читать далее: Киберготовность США 2.0: Киберпреступность и охрана правопорядка